القراء مثلك يساعدون في دعم MUO. عند إجراء عملية شراء باستخدام الروابط الموجودة على موقعنا ، فقد نربح عمولة تابعة. اقرأ أكثر.

تستضيف خوادم الويب الملفات (صفحات الويب والصور ومقاطع الفيديو والنماذج وما إلى ذلك) التي تشكل تطبيق الويب الخاص بك وتخدم هذه الملفات عندما يزور شخص ما موقع الويب الخاص بك. بعض الخوادم أكثر تقدمًا وتتحكم أيضًا في مدى وصول زوار الويب. قد تمنع الزوار المنتظمين من الوصول إلى حسابات المستخدمين الآخرين أو لوحات المعلومات الإدارية. على الرغم من أن خوادم الويب فعالة في ما تفعله - وتقوم بذلك بشكل آمن إلى حد ما - إلا أن المهاجمين يمكنهم استغلال الأخطاء التي تنشأ عن خطأ بشري أو منطق خاطئ في كيفية خدمة الخادم للملفات التي يستضيفها.

ما هو هجوم LFI؟

يحدث هجوم اختراق الملفات المحلية (LFI) عندما يستغل المهاجمون نقاط الضعف في كيفية تخزين خادم الويب أو تقديمه أو التحقق من صحته أو التحكم في الوصول إلى ملفاته. هذه الثغرة الأمنية شائعة في المواقع المستندة إلى PHP.

على عكس العديد من أشكال الهجمات الإلكترونية حيث يعتمد المهاجمون على البرامج الضارة لإفساد أحد التطبيقات ، يعتمد المهاجمون في LFI في الغالب على الحيل الذكية والأسطر القصيرة من التعليمات البرمجية. هذا نادرًا ما يتطلب أدوات معقدة أو نصوصًا معقدة ؛ تحدث الهجمات عادةً على متصفح الويب. الحيلة الأكثر شيوعًا التي يستخدمها المهاجمون هي تعديل سلسلة URL بتعليمات برمجية أو مسارات ملفات أو أسماء ملفات.

instagram viewer

كيف تحدث هجمات LFI؟

تحدث هجمات LFI عادةً على أربع مراحل.

أولاً ، يحدد المهاجم موقع ويب PHP يقوم بتشغيل تطبيق ويب ضعيف ، عادةً عن طريق تشغيل رمز أساسي في عنوان URL للمتصفح لمعرفة ما إذا كان تطبيق الويب (أي الموقع) يتعامل مع الأمر. فكر في الأمر على أنه الضغط على مجموعات المفاتيح الموجودة على وحدة التحكم باللعبة لديك لفتح بيضة عيد الفصح — على سبيل المثال ، الضغط على المفتاح السفلي للدخول إلى الأنفاق في لعبة Super Mario. لكن الأوامر التي يعمل بها المهاجمون في هجمات LFI أكثر اتساقًا من التحقق من كل نفق في Super Mario.

سيؤدي تطبيق الويب أو الخادم الذي تم تكوينه بشكل غير صحيح أو فشل في التحقق من صحة المدخلات إلى تنفيذ التعليمات البرمجية الضارة. من هنا ، قد يحصل المخترق على حق الوصول والامتياز الذي يحتاجه لقراءة الملفات المعرضة للخطر أو تحميل الملفات الضارة إلى الخادم.

تؤدي معظم هجمات LFI إلى وصول المهاجم إلى معلومات حساسة. نادرًا ما تنجح إمكانية تحميل البرامج الضارة لأنه لا يوجد ضمان بأن تطبيق الويب سيحفظ الملف على نفس الخادم حيث توجد ثغرة LFI. هذا هو الحال غالبًا إذا كان تطبيق الويب في بيئة متعددة الخوادم.

لذلك ، إذا كانت ثغرة LFI موجودة على الخادم الذي يستضيف الصور ولكن ليس الخادم الذي يخزن الموظف بيانات الاعتماد أو كلمات مرور المستخدم ، لن يتمكن المهاجم إلا من الوصول إلى ملفات الصور الموجودة على هذا الخادم الضعيف. بغض النظر ، الأحداث السيبرانية مثل الهجوم على LastPass أظهر أن المتسللين يمكن أن يعيثوا الخراب مع ما يبدو أنه أقل مستويات الوصول أهمية.

كيفية منع هجمات LFI

تعتبر هجمات LFI شائعة جدًا ، وفقًا لـ افتح مشروع أمان تطبيق الويب (أواسب). من المفهوم أن المتسللين يفضلون هذا الهجوم منذ ذلك الحين ، مثل W3Techs تشير التقارير إلى أن ما يقرب من ثمانية من كل 10 مواقع تشغل PHP كلغة برمجة من جانب الخادم - عدد كبير من الضحايا ، إذا جاز التعبير. من الممكن منع هجوم LFI من خلال اعتماد أفضل ممارسات أمان الويب.

قائمة بيضاء بملفات الخادم العام

غالبًا ما تستخدم تطبيقات الويب مسارات الملفات كمدخلات لعناوين URL. يمكن للقراصنة استغلال نظام الملفات هذا عن طريق تغيير جزء عنوان URL الذي يتضاعف كمسار ملف. على سبيل المثال ، يمكن للمهاجم أن يتغير https://dummywebsite.com/?module=contact.php ل https://dummywebsite.com/?module=/etc/passwd. سيعرض الخادم الضعيف ذو التصفية الضعيفة والمنطق المعيب محتويات الملف المخزن في المسار / etc / passwd.

بالطبع ، يستخدم المتسللون مجموعة متنوعة من أسماء الملفات الشائعة ومجموعات من أحرف الاستعلام لزيادة احتمالات هجوم ناجح. الهدف هو خداع تطبيق الويب لتشغيل برنامج نصي أو عرض الملفات على خادم ويب.

يمكنك حظر هذه الثغرة الأمنية عن طريق إنشاء قائمة بيضاء للمستندات العامة على الخادم الخاص بك وتوجيه تطبيق الويب لتجاهل الاستعلامات الخاصة بكل مستند أو مسار ملف آخر. لذلك ، إذا حاول المهاجم التلاعب بعنوان URL لطلب أو تشغيل رموز تطلب رمزًا خاصًا ، فستحصل على صفحة خطأ بدلاً من ذلك.

اختبار الثغرات الأمنية بشكل متكرر

يمكنك استخدام أدوات مسح الويب للعثور على الثغرات الأمنية التي قد تعرضك لهجمات LFI وإصلاحها. الماسحات الضوئية لتطبيقات الويب هي أدوات آلية تزحف إلى تطبيقك مثل المهاجم وتنبهك إلى نقاط الضعف المحتملة. هناك العديد من ماسحات الويب مفتوحة المصدر مثل OpenVAS و Wireshark ، لكن معظم أجهزة فحص الثغرات الأمنية هي برامج مملوكة وتتطلب خططًا مدفوعة لاستخدامها.

لكن ، بالطبع ، لا تحصل على ماسح ويب لهجمات LFI فقط. تبحث هذه الأدوات أيضًا عن ثغرات أمنية أوسع مثل إدراج ملف بعيدوالبرمجة عبر المواقع وإدخال SQL وتكوينات الخادم الرديئة. لذا فهم يستحقون ذلك.

تقييد امتيازات زوار الموقع

غالبًا ما ينفذ المتسللون هجمات LFI بنجاح لأن تطبيقات الويب تفشل في تقسيم امتيازات المستخدم ، وبذلك تسمح للزوار بالوصول إلى الملفات التي يجب أن تكون مرئية فقط للمسؤولين. يعمل هذا الإجراء مثل القائمة البيضاء: قم بتهيئة تطبيق الويب والخادم بحيث يخدمان الملفات العامة وتجاهل الطلبات غير المصرح بها عندما يتفاعل الزائر مع تطبيق الويب. هذا مهم بشكل خاص للاستعلامات عن مسارات الملفات التي تحتوي على ملفات حساسة.

لتحقيق هذه الغاية ، قد تحتاج إلى منع تعديل مسارات الملفات مباشرة. يجب أن يخدم تطبيق الويب المستندات من قائمة المسارات المشفرة فقط. علاوة على ذلك ، قم بتكوين تطبيق الويب لمعالجة الطلبات باستخدام تسلسل المسار الديناميكي (يجب أن تحتوي عناوين URL على أحرف أبجدية رقمية) بدلاً من وظائف base64 أو bin2hex.

إذا كنت تفكر في إدراج أسماء الملفات في القائمة السوداء ، فلا تفعل ذلك. عادة ما يكون لدى المتسللين قائمة متزايدة من أسماء الملفات التي يمكنهم استخدامها لتنفيذ هجوم LFI. إلى جانب ذلك ، إنه مستحيل عمليًا (ومضيعة هائلة للوقت) لوضع قائمة سوداء بالمصادر المتزايدة باستمرار من الهجوم.

استخدم بيئة متعددة الخوادم

تتيح لك البيئة متعددة الخوادم عزل المستندات الهامة والحساسة عن الملفات العامة ، وبالتالي تقليل المخاطر في حالة حدوث خرق. تعد الخوادم المخصصة أقل عرضة لهجمات LFI لأنها على الرغم من أنها تعمل معًا ، إلا أن تكويناتها تختلف.

إلى جانب هذا الأمان ، تعد الخوادم المتعددة موثوقة أيضًا (مع مخاطر أقل للتوقف عن العمل) وسريعة وفعالة. من المسلم به أن استخدام بيئة متعددة الخوادم ليس فعالاً من حيث التكلفة إذا كان موقع الويب الخاص بك صغيرًا. في هذه الحالة ، ضع في اعتبارك تقسيم وصول تطبيق الويب إلى البيانات بين قاعدة بيانات للبيانات الخاصة وخادم للملفات العامة.

هل يجب أن تقلق بشأن هجمات LFI؟

هناك إمكانية لهجوم LFI ، خاصة إذا كان موقعك يعمل على PHP ، ولكن يمكنك تقليل تعرضك عن طريق تكوين تطبيقات الويب والخوادم وفقًا لأفضل ممارسات أمان الويب.

علاوة على ذلك ، يجب أن تفكر في إجراء فحوصات أمنية روتينية للعثور على نقاط الضعف. تنكسر الأشياء طوال الوقت ، خاصة وأن هندسة الموقع تصبح معقدة. الأدوات التي ستحتاجها لحماية نفسك مؤتمتة ، ولا يتطلب الكثير منها إعدادًا متطورًا أو معرفة تقنية متقدمة.